HCL®AppScan® ソース バージョン 10.4.0 Readme とリリース Notes®

2023 年 12 月

製品やそのコンポーネントをインストールする前に、この文書全体をお読みください。

この文書には、AppScan® ソース に関する重要な問題およびトピックが記載されています。

AppScan® ソース のライセンス

AppScan® ソース には、クライアント・マシンにライセンス情報をロードして更新するための License Manager ユーティリティーが組み込まれています。このユーティリティーを使用すると、現在のライセンスの状況を確認できます。また、ノードロック・ライセンス・ファイルをインポートするか、ライセンス・サーバーでフローティング・ライセンスを使用して、製品をアクティブ化することもできます。ノードロック・ライセンスは個々のマシンに関連付けられますが、フローティング・ライセンスは、チェックアウトして別のクライアント・マシンで使用できます。インストールの完了後、製品のインストール・ウィザードから License Manager ユーティリティーを起動できます。

あるいは、Windows の「スタート」メニューから起動できます。

AppScan® ソース のライセンスは、HCL® License & Delivery Portal から取得します。ライセンスの取得とライセンス認証に関する詳細については、ヘルプの「AppScan Source ライセンスの取得および適用方法」と「ソフトウェアのアクティブ化」を参照してください。

重要: Windows 用の新しいインストール・ファイル名

従来のリリースまで Windows 用インストール・ファイル名は setup.exe でした。今回インストール・ファイル名は、AppScanSrc_Installer.exe となりました。

AppScan® Source for Analysis 製品資料

AppScan® Source for Analysis「ヘルプ」 > 「ヘルプ目次」メニュー項目を使用すると、AppScan® ソース「HCL ソフトウェア製品資料」でオンライン・ヘルプが開きます。同様に、AppScan® Source for Analysis の「ようこそ」ビューからリンクに従うと、「HCL ソフトウェア製品資料」で開きます。

AppScan® Source for Analysis では、多くのビュー、設定ページ、およびダイアログ・ボックス用のコンテキスト・ヘルプも提供されています。コンテキスト・ヘルプのキーボード・ショートカットは、Windows では F1、Linux では Shift+F1 です。このコンテキスト・ヘルプを使用すると、AppScan® ソース「HCL ソフトウェア製品資料」も開くことができます。

インターネットに接続せずに製品を使用している場合は、以下の方法によりローカルでヘルプを参照することができます。

  • 一部の AppScan® Source for Analysis 機能の Javadoc は、AppScan® ソース インストール・ディレクトリーの doc/Javadoc ディレクトリーまたは doc\Javadoc ディレクトリーにあります。バージョン 9.0.3.4 からは、以下の機能の Javadoc が用意されています。
    • アプリケーション・サーバーのインポート・フレームワーク API クラスおよびメソッドの Javadoc は、doc/Javadoc/appserverimporter または doc\Javadoc\appserverimporter で参照可能です。
    • Framework for Frameworks API クラスおよびメソッドの Javadoc は、doc/Javadoc/frameworks または doc\Javadoc\frameworks で参照可能です。

    これらのフォルダーでは index.html ファイルを開きます。

全般

「スキャンの停止」は使用できなくなりました

AppScan® ソース スキャンを中断することはできなくなり、現在の結果が返されます。結果を表示するには、スキャンを完了する必要があります。

AppScan® ソース をアップグレードした後、除外されたバンドルからの検出結果がスキャン結果に現れる場合がある

AppScan® ソース のアップグレード後、一部の検出結果のプロパティーが変更され、その結果、この既知の制限に該当する場合があります。

IPv6 に関する制限

AppScan® ソース は、 Internet Protocol Version 6 (IPv6) に対応していますが、以下の例外があります。

  • IPv6 の数値アドレスの入力はサポートされておらず、代わりにホスト名を入力する必要があります。IPv4 の数値アドレスの入力はサポートされています。

クラスまたはライブラリーの欠落によって Eclipse ワークスペースのスキャンが失敗した場合のプリコンパイル済みクラスの使用

Eclipse ワークスペースを正常にインポートしたにもかかわらず、クラスまたはライブラリーの欠落によって、ワークスペースのスキャンが失敗する場合は、プリコンパイル済みのクラスでスキャンするオプションを使用することをお勧めします。そのためには、プロジェクト・プロパティーでそのオプションを選択し、Eclipse プロジェクトの bin ディレクトリーを参照します。

トルコ語ロケールではサイレント・インストールはサポートされない

カスタムのサイレント・インストールを作成した場合、トルコ語の言語ロケールで実行すると失敗します (例:tr および tr_TR)。

Oracle データベースでは UTF-8 文字セットが必要

AppScan® Enterprise Server を Oracle データベースに接続している場合は、データベースの作成時に文字セットを UTF-8 に設定する必要があります (通常、UTF-8 はデフォルトの文字セットではありません)。

JSP ファイル内の行番号

.jsp ファイルから生成された .java ファイルの行番号は、JSP ファイル名とともに表示されます。

Ounce/Maven

ounce:report mojo は、既存の評価の XML ファイルに対しては機能せず、新しいスキャンについてのみ有効です。

AppScan® Source for Analysis

すべての AppScan® ソース java プロセスを終了せずに AppScan® ソース をアップグレードすると、「修正方法」ビューに障害が発生する場合がある

AppScan® ソース java プロセスの実行中に製品アップグレードを実行すると、アップグレードに、「修正方法」ビューで次のようなエラーが表示される場合があります。

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

または

Error executing query and transform

AppScan® Source for AnalysisAppScan® Source for Development (Eclipse プラグイン)、または AppScan® Source for Development (Visual Studio プラグイン) コンポーネントを含む AppScan® ソース インストール済み環境をアップグレードする場合は、事前に、実行中の AppScan® ソース java プロセスがないことを確認してください。

Linux での AppScan® Source for AnalysisAppScan® Source for Development (Eclipse プラグイン) コンポーネントの前提条件

Linux の場合、Eclipse は、ブラウザー・ベースのコンテンツをレンダリングするためにサード・パーティー・コンポーネントをインストールする必要があります。このコンポーネントがないと、AppScan® Source for Analysis および AppScan® Source for Development (Eclipse プラグイン) は、ログイン後にハングしたり、製品使用中に障害が発生したりするなどの症状を示す可能性があります。

Linux における AppScan® Source for Analysis の偶発的シャットダウン

予期しないシャットダウンを防ぐには、Pango をアップグレードします。Pango をアップグレードするには、glib のアップグレードが必要になることがあります。

各国語の切り替え時にキャッシングが発生する可能性がある

AppScan® Source for Analysis のユーザー・インターフェースは、設定で言語を切り替えてワークベンチを再始動することにより、各国語で表示できます。文字列をキャッシュし、以前の使用言語で表示するのは Eclipse 共通の動作であり、AppScan® Source for Analysis はこの動作の影響を受けます。表示される各国語を切り替えてワークベンチを再始動すると、キャッシュされた文字列は、その文字列が示すユーザー・インターフェース要素をアクティブ化したときに更新されます (例えば、ボタン・ラベルがキャッシュされている場合、そのボタンをクリックすると、文字列が新しい言語に更新されます)。

AppScan® Source for Analysis のインストール・パスではマルチバイト文字はサポートされない

インストール・パスにマルチバイト文字が含まれている場合、すべてのバージョンの AppScan® Source for Analysis はインストール時に無効なディレクトリーのエラーで失敗します。

Linux の場合 - 「ounce」以外のユーザーとして実行するように AppScan® ソース デーモンをインストール時に構成すると、AppScan® Source for Analysis の起動時にエラーが発生する

AppScan® Source for Analysis インストーラーでは、AppScan® ソース デーモン・プロセスを、デフォルト・ユーザー「ounce」として実行するように構成することも、既存のユーザーとして実行するように構成することもできます。

回避策: デフォルト・ユーザーを選択しない場合は、以下の行を含む eclipse.ini ファイルを AppScan® ソース インストール・ディレクトリー (例: /opt/hcl/appscansource) に作成する必要があります。

-configuration @user.home/.ounceconfig

非管理ユーザーとして AppScan® Source for Analysis を削除する

Windows 上の AppScan® Source for Analysis では、「プログラムの追加と削除」エントリーを作成するには管理者権限が必要です。管理者ではないユーザーとして AppScan® Source for Analysis をインストールした場合、AppScan® Source for Analysis を削除するには、<install_dir>\Uninstall_AppScan に進み、AppScan_Uninstaller.exe(<install_dir>AppScan® ソース インストールの場所です) を実行します。

PDF レポートを作成する場合、英語以外の一部の言語ではシステム・フォントをインストールすることが必要な場合があります。

以下の言語で PDF レポートを作成するには、指定されたフォントをインストールすることが必要になる場合があります。

  • 日本語: MS ゴシックまたは VL ゴシック
  • 韓国語: Gulim
  • 中国語(簡体字): SimSun-18030 または MingLiU
  • 中国語(繁体字): SimSun-18030 または MingLiU

カスタム・ルールの変更とプラグインの使用

AppScan® Source for Analysis でカスタム・ルールを作成して AppScan® Source for Development プラグイン にログインした場合、変更内容を確認するには IDE を再始動する必要があります。

「評価の概要」ビューでのグラフのスタイルの選択はサポートされなくなった

「評価の概要」ビューでは、表示するグラフのスタイルを選択できなくなりました。使用可能なグラフのスタイルは棒グラフのみです。

AppScan® Source for Development (Eclipse プラグイン)

すべての AppScan® ソース java プロセスを終了せずに AppScan® ソース をアップグレードすると、「修正方法」ビューに障害が発生する場合がある

AppScan® ソース java プロセスの実行中に製品アップグレードを実行すると、アップグレードに、「修正方法」ビューで次のようなエラーが表示される場合があります。

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

または

Error executing query and transform

AppScan® Source for AnalysisAppScan® Source for Development (Eclipse プラグイン)、または AppScan® Source for Development (Visual Studio プラグイン) コンポーネントを含む AppScan® ソース インストール済み環境をアップグレードする場合は、事前に、実行中の AppScan® ソース java プロセスがないことを確認してください。

AppScan® Source for Development を Eclipse に適用した後に初めて Eclipse を再起動した後にワークスペースの選択を要求するプロンプトが表示されない

AppScan® Source for Development を Eclipse に適用した後、ワークベンチの再始動を求めるプロンプトが表示されます。再始動すると、ワークスペースの選択を求めるプロンプトが表示されます。しかし、Eclipse を再び再始動したとき、つまり、一度閉じてから始動したときには、ワークスペースの選択を求めるプロンプトが表示されません。

この問題は、https://bugs.eclipse.org/bugs/show_bug.cgi?id=409552 に関連しています。

この問題を回避するには、以下のいずれかの方法を使用します。

  • Eclipse の始動時に -clean オプションを使用します。
  • Eclipse を終了し、Eclipse のインストール・ディレクトリーで configuration\org.eclipse.osgi\.manager ディレクトリーを削除してから、Eclipse を再始動します。

問題が解決しない場合は、「ファイル」 > 「ワークスペースの切り替え」アクションを使用して、正しいワークスペースを使用していることを確認できます。

AppScan® Source for Development (Eclipse プラグイン) のアップグレード

AppScan® Source for Development または AppScan® ソース の最新バージョンにアップグレードする前に、AppScan® Source for Development を Eclipse IDE からアンインストールすることをお勧めします。

Linux での AppScan® Source for AnalysisAppScan® Source for Development (Eclipse プラグイン) コンポーネントの前提条件

Linux の場合、Eclipse は、ブラウザー・ベースのコンテンツをレンダリングするためにサード・パーティー・コンポーネントをインストールする必要があります。このコンポーネントがないと、AppScan® Source for Analysis および AppScan® Source for Development (Eclipse プラグイン) は、ログイン後にハングしたり、製品使用中に障害が発生したりするなどの症状を示す可能性があります。

AppScan® Source for Development Eclipse と Eclipse ベースの製品用のプラグイン: AppScan® ソース インストール・ディレクトリーの複数のプロンプト

Eclipse および Eclipse ベースの製品用の AppScan® Source for Development プラグインを初めて使用するときには、ダイアログ・ボックスで、 AppScan® ソースインストール・ディレクトリーへのパスを指定するようにプロンプトが表示されます。インストール・ディレクトリーを指定して「OK」をクリックしても再び同じダイアログ・ボックスが表示される場合には、「キャンセル」をクリックし、ワークベンチを再起動して、そのまま、通常どおり製品を使用してください。インストール・ディレクトリーの入力を求めるプロンプトが複数回表示されたときにワークベンチを再始動しなかった場合、スキャンに失敗することがあります。

AppScan® Source for Development で共有フィルター/グローバル・フィルターが表示されないことがある

AppScan® Source for Development のフィルター・モジュールでは、AppScan® Enterprise Server にログインして認証を受けなくても、保存されている評価を開いてフィルター・アクションを実行することができます。共有フィルターは AppScan® ソース・データベース (アクセスするためにはログインして認証を受ける必要あり) に格納されているため、現在のプラグイン・セッションで AppScan® ソース にログインしていない場合、プラグインで共有フィルターを使用することはできません。

回避策: スキャン (またはログインを必要とするその他のアクション) は、プラグインのフィルター・モジュールにアクセスする前に実行してください。ログインすると、共有フィルターを使用できるようになります。

重要: 開発者プラグインで「フィルターの編集 (Edit Filters)」ビューを開くと、フィルターがロードされます。このビューが既に開いている場合は、ログインしても、ビューが更新されて共有フィルターが表示されることはありません。回避策として、ビューを閉じ、プラグインを再起動して、AppScan® ソース にログインしてから、再び「フィルターの編集」ビューを開いてください。

カスタム・ルールの変更とプラグインの使用

AppScan® Source for Analysis でカスタム・ルールを作成して AppScan® Source for Development プラグイン にログインした場合、変更内容を確認するには IDE を再始動する必要があります。

「評価の概要」ビューでのグラフのスタイルの選択はサポートされなくなった

「評価の概要」ビューでは、表示するグラフのスタイルを選択できなくなりました。使用可能なグラフのスタイルは棒グラフのみです。

AppScan® Source for Development (Visual Studio プラグイン)

すべての AppScan® ソース java プロセスを終了せずに AppScan® ソース をアップグレードすると、「修正方法」ビューに障害が発生する場合がある

AppScan® ソース java プロセスの実行中に製品アップグレードを実行すると、アップグレードに、「修正方法」ビューで次のようなエラーが表示される場合があります。

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

または

Error executing query and transform

AppScan® Source for AnalysisAppScan® Source for Development (Eclipse プラグイン)、または AppScan® Source for Development (Visual Studio プラグイン) コンポーネントを含む AppScan® ソース インストール済み環境をアップグレードする場合は、事前に、実行中の AppScan® ソース java プロセスがないことを確認してください。

大規模な評価における多数の検出結果のコピー時の遅延

多数の検出結果を含む評価で複数の検出結果を複数選択してコピーすると、コピー・アクションがクリップボードに追加されるまでに数秒の遅延が生じることがあります。コピーされた内容を貼り付ける前に、コピー・アクションが完了していることを確認してください。

インストールされていない Microsoft Visual Studio のバージョンで作成されたソリューション・ファイルのスキャン

ご使用のシステムにインストールされていないバージョンの Visual Studio で作成されたソリューション・ファイルをスキャンしようとすると、AppScan® ソース は、ご使用のシステムで互換性のあるバージョンの Visual Studio を見つけて、それを使用してスキャンしようとします。

AppScan® ソース Microsoft Visual Studio の「製品情報」ダイアログ・ボックスの一部が表示されない

特定の国の言語では、AppScan® Source for Development (Visual Studio プラグイン) の「製品情報」ダイアログ・ボックスは不完全に表示されます。これに対処するには、最適に表示されるように画面解像度やフォント・サイズを調整します。

AppScan® Source for Development で共有フィルター/グローバル・フィルターが表示されないことがある

AppScan® Source for Development のフィルター・モジュールでは、AppScan® Enterprise Server にログインして認証を受けなくても、保存されている評価を開いてフィルター・アクションを実行することができます。共有フィルターは AppScan® ソース・データベース (アクセスするためにはログインして認証を受ける必要あり) に格納されているため、現在のプラグイン・セッションで AppScan® ソース にログインしていない場合、プラグインで共有フィルターを使用することはできません。

回避策: スキャン (またはログインを必要とするその他のアクション) は、プラグインのフィルター・モジュールにアクセスする前に実行してください。ログインすると、共有フィルターを使用できるようになります。

重要: 開発者プラグインで「フィルターの編集 (Edit Filters)」ビューを開くと、フィルターがロードされます。このビューが既に開いている場合は、ログインしても、ビューが更新されて共有フィルターが表示されることはありません。回避策として、ビューを閉じ、プラグインを再起動して、AppScan® ソース にログインしてから、再び「フィルターの編集」ビューを開いてください。

「評価の概要」ビューでのグラフのスタイルの選択はサポートされなくなった

「評価の概要」ビューでは、表示するグラフのスタイルを選択できなくなりました。使用可能なグラフのスタイルは棒グラフのみです。

AppScan® Source コマンド行インターフェース (CLI)

publishassessase または pase コマンドを発行すると、HttpAuthenticator 警告が出る

CLI を使用して、Windows 認証のみが有効になった AppScan® Enterprise Console に対する公開を行う場合、publishassessase または pase コマンドの発行時に以下のような警告が表示される場合があります。

WARN [main] (HttpAuthenticator.java:207) - NEGOTIATE authentication error: org.ietf.jgss.GSSException, major code: 2, minor code: 0
  major string: Unsupported mechanism
  minor string: No factory available to create name for mechanism x.x.x.x.x.x.x
Assessment successfully published to: https://<ase_hostname>/ase

このような警告は評価の公開には影響せず、無視することができます。

MicrosoftWindows

Windows C/C++ アプリケーションのスキャン

Windows C/C++ アプリケーションは 64 ビットとしてスキャンされます。

64 ビット対応ではない C/C++ アプリケーションでは、スキャン・エラーが発生する場合があります。

Windows で AppScan® ソース のアンインストールがハングする

AppScan Source v10.0.0 のサーバーとクライアントの両方の機能セットが Windows システムにインストールされている場合、プロセスが <InstallDir>\engine から JRE ファイルを削除しようとすると、アンインストールがハングします。

これが発生したら、プロセスが強制終了し、アンインストールを手動で完了します。

アンインストール・プロセスを終了して、アンインストールを完了するには、次のようにします。

  1. 最初に、右上隅の「x」をクリックして、インストーラー・ダイアログを手動で閉じます。
  2. ダイアログを手動で閉じることができない場合:
    1. 「Windows」「タスク・マネージャー (Task Manager)」をオープンします。
    2. 「詳細」タブで、AppScanSrc_Uninstaller.exe プロセスを探します。
    3. プロセスを右クリックして、「タスクの終了」を選択します。
  3. Windows Explorer から、インストール・ディレクトリーを削除します。デフォルトでは、AppScan® ソース バージョン 10.0.6 以前のインストール・ディレクトリーは C:\Program Files(x86)\IBM\AppScanSource です。
  4. データ・ディレクトリーを削除します。デフォルトでは、AppScan® ソース バージョン 10.0.6 以前のデータ・ディレクトリーは C:\ProgramData\IBM\AppScanSource です。
注: AppScan Source v10.0.0 のクライアントのみのインストールをアンインストールしても、ハングは発生しません。

Windows Defender によって中断された AppScan® ソース のインストール

Windows の古いバージョンに AppScan® Source をインストールすると、Windows Defender は警告ポップアップを出してインストール・プロセスを中断する場合があります。ポップアップをクリックしてインストールを続行します。詳細については、https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-smartscreen/windows-defender-smartscreen-overviewを参照してください。

すべての AppScan® ソース java プロセスを終了せずに AppScan® ソース をアップグレードすると、「修正方法」ビューに障害が発生する場合がある

AppScan® ソース java プロセスの実行中に製品アップグレードを実行すると、アップグレードに、「修正方法」ビューで次のようなエラーが表示される場合があります。

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

または

Error executing query and transform

AppScan® Source for AnalysisAppScan® Source for Development (Eclipse プラグイン)、または AppScan® Source for Development (Visual Studio プラグイン) コンポーネントを含む AppScan® ソース インストール済み環境をアップグレードする場合は、事前に、実行中の AppScan® ソース java プロセスがないことを確認してください。

AppScan® ソース 構成ファイルに特殊文字が含まれているとエラーが発生する

Windows では、構成ファイル (.ppf.paf.osc) のファイル名に一部の特殊文字 (Ç, à, ∾, ¥, §, Æ など) が含まれていると、エラーが発生することがあります。

#import のライブラリー id および progid フォームの非サポート

Microsoft Visual C++ #import プリプロセッサー・ディレクティブにはいくつかのフォームがあります。AppScan® ソース では、ライブラリー id または progid を使用する 2 つのフォームがサポートされていません。これらのフォームを含むファイルはスキャンされず、コンソールにエラー・メッセージが表示されます。

参照先のアセンブリーは、スキャン対象のアセンブリーと同じディレクトリー内にあるか、グローバル・アセンブリー・キャッシュ (GAC) に登録されていなければならない

AppScan® ソース は、すべての参照先アセンブリーまたは依存アセンブリーがスキャン対象アセンブリーと同じフォルダー内にあるか、GAC に登録されている場合のみ、.NET アプリケーションの完全なスキャンを行うことができます。アセンブリーが、ディスク上の他の場所にあるアセンブリーで定義されているタイプを参照する場合、以下のようなエラーが表示されることがあります。

Skipping file <assembly_name> due to error: Failed (0x80004005) in <type> call
     Referenced assembly <referenced assembly name> was not found.

このようなエラーを修正するには、参照先のアセンブリーをスキャン対象のアセンブリーと同じディレクトリーにコピーするか、GAC に登録します。

.Net コアでアセンブルされた .NET アセンブリー・プロジェクト

AppScan® ソース では、.NET Core で生成されたアセンブリー・ファイルを含む .NET アセンブリー・プロジェクトはサポートされていません。.NET Core プロジェクトは、.NET ソリューション・ファイルと同じ方法でスキャンできます。詳しくは、ユーザー・インターフェース・アクションによる既存のアプリケーションの追加を参照してください。

Visual Basic 6 でのスキャンには完全な関数宣言が必要

#if#else if、および #end if には、関数の完全な宣言が含まれていなければなりません。以下に例を示します。

#If NATIVEBINDING Then
Public Function TemplateFromRule(ByVal Rule As OrgMan.Rule) As AcDir.Template
          	Dim oOp As OrgMan.Operation
#Else
Public Function TemplateFromRule(ByVal Rule As Object) As AcDir.Template
          	Dim oOp As Object
#End If
          	If Rule Is Nothing Then Exit Function
          	oOp = Rule.Operation
          	If oOp Is Nothing Then Exit Function
          	TemplateFromRule = BuildTemplate(oOp.Command, Rule.Field, Rule.Value)
End Function

英語以外のロケールでの実行時にダイアログ・ボックスおよびメッセージの一部が切り捨てられる

典型的な Microsoft Windows コントロールにはサイズ変更機能がありませんが、AppScan® ソース では一部のダイアログ・ボックスおよびメッセージのサイズを変更できます。AppScan® ソース 製品のグラフィカル・ユーザー・インターフェースを英語以外のロケールで実行しており、ダイアログ・ボックスおよびメッセージの文字列が切り捨てられる場合は、ダイアログ・ボックスまたはメッセージをサイズ変更して内容を完全に表示することができます。

AppScan® Source for Development (Visual Studio プラグイン) の制限

AppScan® Source for Development (Visual Studio プラグイン) に適用されるすべての制限は、Windows に固有でもあります。AppScan Source for Development (Visual Studio プラグイン) を参照してください。

Linux

ノードロック・ライセンスと Red Hat Enterprise Linux 7.4

IBM に由来するノードロック・ライセンスは Red Hat Enterprise Linux 7.4 で正しく動作しないことがあります。HCL に由来するノードロック・ライセンスに移動してください。詳細については、HCL サポートにお問い合わせください。

Red Hat Enterprise Linux 7.x で AppScan Source をアンインストールする

Red Hat Enterprise Linux 7.x では、すべての AppScan Source プロセスを停止するには、AppScan Source バージョン 9.0.3.x をアンインストールした後にシステムを再起動する必要があります。

すべての AppScan® ソース java プロセスを終了せずに AppScan® ソース をアップグレードすると、「修正方法」ビューに障害が発生する場合がある

AppScan® ソース java プロセスの実行中に製品アップグレードを実行すると、アップグレードに、「修正方法」ビューで次のようなエラーが表示される場合があります。

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

または

Error executing query and transform

AppScan® Source for AnalysisAppScan® Source for Development (Eclipse プラグイン)、または AppScan® Source for Development (Visual Studio プラグイン) コンポーネントを含む AppScan® ソース インストール済み環境をアップグレードする場合は、事前に、実行中の AppScan® ソース java プロセスがないことを確認してください。

Linux Mozilla の「修復支援」ビューの要件

Linux の場合、「修復支援」ビューを使用するためには、GTK2 以上にリンクしている Mozilla が必要です。

GTK2 以上にリンクしている Mozilla をインストールします。Mozilla を入手したら解凍して、それをポイントする環境変数 MOZILLA_FIVE_HOME を追加します。例えば、アーカイブを /usr/local に解凍して bash シェルを使用する場合、export MOZILLA_FIVE_HOME=/usr/local/mozilla~/.bashrc に追加します。

SELinux によってインストール、製品のアクティブ化、および実行が妨げられる

Security Enhanced Linux (SELinux) は、Linux カーネルの Linux セキュリティー・モジュールを使用してセキュリティーとアクセス制御を強化する Linux の機能です。この機能は、デフォルトで Red Hat Enterprise 5 に組み込まれています。

  1. インストール: AppScan® ソース のインストールは、SELinux を強制モードにした状態で実行することはできません。SELinux を「許可 (Permissive)」モードに変更する必要があります。SELinux を許可モードで実行するには、/usr/bin/system-config-selinux を発行します。または、GNOME を実行している場合は、「システム (System)」 > 「管理」 > 「SELinux の管理 (SELinux Management)」の順に選択してください。root パスワードの入力を求めるプロンプトが表示されます。まだ選択していない場合は、左側のペインで「状態」を選択します。右側のペインで、「現在のモード - 強制 (Current Enforcing Mode)」ドロップダウンを「許可 (Permissive)」に変更します。SELinux を「許可 (Permissive)」に変更したら、AppScan® ソース のインストールを通常どおり実行します。インストールの完了後に SELinux の設定を「強制 (Enforcing)」に戻すことができます。
  2. 製品のアクティブ化: 「強制 (Enforcing)」モードでは AppScan® ソース License Manager を使用できません。SELinux を「許可 (Permissive)」モードに変更する必要があります。SELinux を許可モードで実行するには、/usr/bin/system-config-selinux を発行します。または、GNOME を実行している場合は、「システム (System)」 > 「管理」 > 「SELinux の管理 (SELinux Management)」の順に選択してください。root パスワードの入力を求めるプロンプトが表示されます。まだ選択していない場合は、左側のペインで「状態」を選択します。右側のペインで、「現在のモード - 強制 (Current Enforcing Mode)」ドロップダウンを「許可 (Permissive)」に変更します。SELinux を「許可 (Permissive)」に設定したら、License Manager を実行します。製品のアクティブ化の完了後に SELinux の設定を「強制 (Enforcing)」に戻すことができます。
  3. 実行中: AppScan® ソース に付属している JRE および JDK は SELinux を強制モードにした状態では動作しません。ただし、「強制 (Enforcing)」モードを無効にする必要はありません。SELinux をトリガーするファイルに、動作させるための権限を付与できるためです。これは chcon コマンドで chcon -t textrel_shlib_t <filename> を発行することで行われます。このコマンドは、<installdir>/jre ディレクトリーおよび <installdir>/JDKS ディレクトリーの下のすべての共有オブジェクト・ファイル (.so) に対して発行する必要があります。そのための方法として、exec パラメーターを指定して find コマンドをバッチ形式で実行します。以下に例を示します。
    cd /opt/ibm/appscansource/jre
    sudo find . -name "*.so" -exec chcon -t textrel_shlib_t {} \; -print
    cd ../JDKS
    sudo find . -name "*.so" -exec chcon -t textrel_shlib_t {} \; -print

Linux での AppScan® Source for AnalysisAppScan® Source for Development (Eclipse プラグイン) コンポーネントの前提条件

Linux の場合、Eclipse は、ブラウザー・ベースのコンテンツをレンダリングするためにサード・パーティー・コンポーネントをインストールする必要があります。このコンポーネントがないと、AppScan® Source for Analysis および AppScan® Source for Development (Eclipse プラグイン) は、ログイン後にハングしたり、製品使用中に障害が発生したりするなどの症状を示す可能性があります。

Linux における AppScan® Source for Analysis の偶発的シャットダウン

予期しないシャットダウンを防ぐには、Pango をアップグレードします。Pango をアップグレードするには、glib のアップグレードが必要になることがあります。

Linux の場合 - 「ounce」以外のユーザーとして実行するように AppScan® ソース デーモンをインストール時に構成すると、AppScan® Source for Analysis の起動時にエラーが発生する

AppScan® Source for Analysis インストーラーでは、AppScan® ソース デーモン・プロセスを、デフォルト・ユーザー「ounce」として実行するように構成することも、既存のユーザーとして実行するように構成することもできます。

回避策: デフォルト・ユーザーを選択しない場合は、以下の行を含む eclipse.ini ファイルを AppScan® ソース インストール・ディレクトリー (例: /opt/hcl/appscansource) に作成する必要があります。

-configuration @user.home/.ounceconfig

2.95.4 製品などの旧バージョンの gcc を使用してコンパイルされたソース・コードをスキャンするとエラーになる

例えば、

Skipping file: file.cpp due to error: "/home/file.cpp", line 97: error: namespace "std" has
          	no member "string"
          	std::string mystring;

のようなエラーが表示されることがあります。

回避策: プロジェクトのコンパイラー・オプションに --ignore_std オプションを追加します。このオプションにより、std 名前空間をグローバル名前空間のシノニムにする gcc 互換機能が有効になります。AppScan® Source for Analysis で、プロジェクトの「プロパティー」ビューの「プロジェクト依存関係」タブを使用して、このオプションを追加します。あるいは、Ounce/Make を使用してプロジェクト・ファイルを作成している場合は、Ounce/Make プロパティー・ファイルで compiler_options 要素の GlobalProjectOptions 属性を変更してください。

macOS

macOS サポートの廃止

バージョン 9.0.3.11 以降の AppScan® ソース では、macOS と iOS の Xcode プロジェクト・スキャンを使用できません。

追加情報

AppScan® ソース バージョン 10.4.0 の強化機能と新規機能

  • AppScan® ソースWindows 11 をサポートします。
  • AppScan® ソースRed Hat Enterprise Linux 8.8 をサポートします。
  • AppScan® ソース では、ライセンスがないときに、コマンド行インターフェース (CLI) の scan コマンドまたは ounceauto ScanApplication コマンドを使用して、待機時間ありでスキャンを開始できます。

    AppScan® Source for Automation ライセンスがない場合、スキャンは、 CLI.ozsettings に設定されている待機時間、または scan コマンドの -waitforlicense 引数で渡される値だけ待機します。待機時間機能を無効にするには、値をゼロに設定します。

  • AppScan® ソース では、シークレットのみのプロジェクトで、または scan CLI コマンドでフォルダー・スキャンを実行するときに -secretsonly パラメーターを使用することで、シークレットのみのスキャンを実行できます。

    シークレットのみのスキャンでは、ハードコードされたパスワード、クレジットカード番号、社会保障番号 (SSN) がスキャン対象のコードで検出された場合に、これらのシークレットのチェックを行います。

  • AppScan® ソース では、アプリケーションまたはプロジェクト・プロパティーを編集するか、scan CLI コマンドでフォルダー・スキャンを実行するときに -enablesecrets パラメーターを使用することで、ソース・コードのみのスキャンでシークレット・スキャンを有効または無効にすることができます。プロジェクトの作成時にシークレット・スキャンを有効にすることもできます。

    シークレット・スキャンでは、ハードコードされたパスワード、クレジットカード番号、社会保障番号 (SSN) がスキャン対象のコードで検出された場合に、これらのシークレットのチェックを行います。

  • AppScan® ソース で、GitHub Action または GitLab CI/CD、および AppScan® ソース コマンド行インターフェース (CLI) コンテナーを使用したスキャンの自動化がサポートされています。

AppScan® ソース バージョン 10.4.0 のフィックスとセキュリティー更新

フィックスとセキュリティー更新はここにリストされます。

AppScan® ソース バージョン 10.4.0 で終了予定の機能または削除された機能

  • RSS フィードはサポートされなくなりました。

AppScan® ソース バージョン 10.3.0 の強化機能と新規機能

  • AppScan® ソース で、コマンド行インターフェース (CLI)「 ツール」メニュー、または ounceauto コマンドを使用した、スキャン検出結果の CSV および SARIF ファイル形式へのエクスポートがサポートされています。
  • HCL®AppScan® Source for Development (Eclipse プラグイン) で、Eclipse IDE 2022-09 がサポートされています。
  • AppScan® ソース で、Rust がサポートされています。
  • バージョン 10.3.0 の AppScan® ソース では、Java および Ruby スキャンのサポートが強化されました。
  • AppScan® ソース で、シークレット・スキャンがサポートされています。
  • 2 つの評価ファイルを比較するための、AppScan® ソース コマンド行インターフェース (CLI) のサポート。
  • AppScan® ソース で、Podman 環境でのコマンド行インターフェース (CLI) コンテナーの実行がサポートされています。
  • データ・アクセス API には JDK 11 以降が必要です。
  • AppScan® ソース で、Jenkins または Azure および AppScan® ソース コマンド行インターフェース (CLI) コンテナーを使用したスキャンの自動化がサポートされています。

AppScan® ソース バージョン 10.3.0 のフィックスとセキュリティー更新

フィックスとセキュリティー更新はここにリストされます。

AppScan® ソース バージョン 10.3.0 の既知の問題

  • デフォルトでは、AppScan® ソース は Java 11 を使用して Java プロジェクトをコンパイルします。プロジェクトに Java 11 との互換性がない場合に、別の Java コンパイラー・バージョンを使用するようにスキャンを構成する場合は、ここで説明されている手順に従ってください。
  • AppScan® ソース コマンド行インターフェース (CLI) を使用して AndroidManifest.xml を含むフォルダーをスキャンすると、An error occurred copying files to the staging directory というエラーでスキャンが失敗します。
    この問題を回避するには、以下のいずれかを行います。
    • appscan-config.xml を使用してスキャンを構成します。
    • ターゲット・フォルダーおよび/またはサブフォルダーから、AndroidManifest.xml を削除 (または移動) します。

AppScan® ソース バージョン 10.3.0 で終了予定の機能または削除された機能

  • HCL®AppScan® ソース for Development (RAD プラグイン) はサポートされなくなりました。

  • HCL®AppScan® ソース for Development (Eclipse プラグイン) は Eclipse IDE 4.13 (2019-09) ではサポートされなくなりました

AppScan® ソース バージョン 10.2.0 の強化機能と新規機能

  • AppScan® ソース では、ライセンス構成ファイルでライセンス非アクティブ時間を構成できます。
  • AppScan® ソース CLI では、フォルダーのスキャン時にソース・コードのみのスキャンができるようになりました。
  • プロジェクト・ファイル拡張子の設定で、使用可能な言語/プロジェクト・タイプがタブではなくドロップダウン・リストにリストされるようになりました。
  • AppScan® ソースRed Hat Linux 8.6 をサポートします。
  • AppScan® ソース.NET 7 をサポートします。

AppScan® ソース および AppScan® Enterprise の相互運用性に関する追加情報

  • AppScan® Enterprise バージョン 10.2.0 では、CVSS 3.1 のサポートがアップグレードされました。AppScan® ソース ユーザーが AppScan® Enterprise バージョン 10.2.0 にアップグレードすると、CVSS 3.1 仕様の性質上、重大度値に不一致が生じる可能性があります。こちらで詳細を確認してください。

AppScan® ソース バージョン 10.2.0 のフィックスとセキュリティー更新

フィックスとセキュリティー更新はここにリストされます。

AppScan® ソース バージョン 10.2.0 の既知の問題

  • Windows 2016 で AppScan® ソース が稼働していて英語以外のロケールを使用している場合、AppScan® ソースAppScan® Enterprise に評価を公開できません。
  • C#ファイルを含むフォルダーをスキャンする場合、フォルダー・スキャンでは Xamarin スキャナーが使用されます。これにより、ユーザーが Xamarin 使用していない場合にも、多数の誤検出が発生する可能性があります。

AppScan® ソース バージョン 10.1.0 の強化機能と新規機能

  • AppScan® ソースRed Hat Enterprise Linux 8.3 をサポートします。
  • Eclipse IDE 2022-06 で HCL®AppScan® Source for Development (Eclipse プラグイン) がサポートされるようになりました。
  • AppScan® ソース が Java 17 をサポートし、インストール・パッケージに Java 17 が含まれました。
  • AppScan® ソース が Tomcat 9 をサポートし、インストール・パッケージに Tomcat 9 が含まれました。
  • AppScan® ソース で、最初に .PAF または .PPF ファイルを作成せずに、フォルダーのスキャンができるようになりました。
  • Ruby、Groovy、JavaScript、および PHP スキャンのサポートが拡張されました。システム要件については、こちらを参照してください。

AppScan® ソース および AppScan® Enterprise の相互運用性に関する追加情報

AppScan® ソース バージョン 10.1.0 は、AppScan® Enterprise Server バージョン 10.1.0 をサポートしています。AppScan® ソース バージョン 10.0.8 以前は、AppScan® Enterprise Server バージョン 10.1.0 をサポートしていません。適切な相互運用性を確保するには、両方の製品をアップグレードします。

AppScan® ソース バージョン 10.1.0 のフィックスとセキュリティー更新

フィックスとセキュリティー更新はここにリストされます。

AppScan® ソース バージョン 10.1.0 で終了予定の機能または削除された機能

  • 以下のレポートおよびレポート・フィルターが削除されました。
    • 2011 年 CWE SANS Top 25 レポート
    • OWASP Top 10 2013 レポート
    • 2011 年 CWE SANS Top 25 レポート・フィルター
    • 2010 年 OWASP Top 25 レポート・フィルター
    • 2013 年 OWASP Top 25 レポート・フィルター
  • 障害追跡システムの統合がサポートされなくなりました。
  • E メールによる検出結果の送信はサポートされなくなりました。

  • 品質メトリックがサポートされなくなりました。
  • Tomcat 7 が AppScan® ソース インストール・パッケージに含まれなくなりました。
  • AppScan® ソース は、将来のリリースで SolidDB と OracleDB のサポートを終了する予定です。

AppScan® ソース バージョン 10.0.8 の強化機能と新規機能

AppScan® ソース バージョン 10.0.8 のフィックスとセキュリティー更新

フィックスとセキュリティー更新はここにリストされます。

AppScan® ソース バージョン 10.0.8 の既知の問題

  • Eclipse プラグインを使用する場合は、Java 8 を使用して AppScan® Source for Development を構成する必要があります。

AppScan® ソース バージョン 10.0.7 の強化機能と新規機能

AppScan® ソース バージョン 10.0.7 のフィックスとセキュリティー更新

フィックスとセキュリティー更新はここにリストされます。

AppScan® ソース バージョン 10.0.7 の既知の問題

  • Windows では、AppScan® ソース バージョン 9.0.3.x または 10.0.0 から AppScan® ソース バージョン 10.0.7 にアップグレードする場合、最初に AppScan® ソース バージョン 10.0.1 ~ 10.0.6 への暫定アップグレードを実行する必要があります。
    重要: アンインストール後に再インストールしないでください。データベースを保守するには、2 つの手順でアップグレードする必要があります。
  • Oracle データベースで構成されている AppScan® ソース には、16 文字以上の強力なパスワードが必要です。

AppScan® ソース バージョン 10.0.7 で終了予定または削除予定の機能

AppScan® ソース バージョン 10.0.6 の強化機能と新規機能

  • AppScan® Source for Analysis の場合と同様に、Visual Studio プラグインの「検出結果」ビューには、デフォルトで修正グループ別の検出結果が表示されるようになりました。
  • AppScan® Source for Analysis での評価比較に使用されるアルゴリズムが、新しいアルゴリズムで更新されました。AppScan® Source for Analysis クライアントからの評価比較結果は AppScanDelta コマンドと整合しますが、以前のバージョンの AppScan® ソース の比較結果と比較すると何らかの違いがある可能性があります。
  • アルゴリズムの更新の一環として、AppScan® Source for Analysis「差分評価」 ビューから、新規または解決済み検出結果 (あるいはその一方) の評価を保存することができるようになりました。

  • AppScan® ソース は C/C++、.NET、および Java のソース・コードのみのスキャンをサポートします。
  • 検出結果の修復を支援するため、AppScan® ソース では業界標準のレポートにアドバイザリー情報を追加しました。
  • AppScan® ソース は、サブジェクトの代替名 - マルチドメイン (SAN) 証明書を使用した CAC 認証をサポートします。
  • AppScan® ソース は、Dart プログラム言語をサポートします。
  • Linux システムでのスキャンの停止/キャンセルのサポート。

AppScan® ソース バージョン 10.0.6 の既知の問題

  • AppScan® ソース バージョン 10.0.5 以前で作成された Objective-C .paf/.ppf ファイルを使用してスキャンを実行すると、Objective-C プロジェクトのスキャンは失敗します。AppScan® ソース バージョン 10.0.6 で Objective-C プロジェクトを再構成し、再試行してください。

AppScan® ソース バージョン 10.0.6 のフィックスとセキュリティー更新

  • フィックスとセキュリティー更新はここにリストされます。

AppScan® ソース バージョン 10.0.6 で終了予定または削除予定の機能

  • AppScan® ソース は、単一ファイル・スキャン・バージョン 10.0.0 のサポートを停止しました。

AppScan® ソース バージョン 10.0.5 の強化機能と新規機能

  • KBArticle サーバーは、AppScan セキュリティー情報サーバーに置き換えられました。AppScan セキュリティー情報サーバーのコンテンツとインターフェースは、ユーザーにより良いサービスを提供するために更新されましたが、以前の AppScan® ソース バージョンにおける KBArticle サーバーと同じ目的を持っています。アプリケーションのセキュリティー検出結果を緩和および解決するためにユーザーを支援します。
  • 検出結果の修復を支援するため、AppScan® ソース ではレポートにアドバイザリー情報を追加しました。
  • 「修復支援」ビューの名前が「修正方法」に変更されました。
  • AppScan® ソース に、DISA STIG v5r1 レポート形式のサポートが追加されました。

    この新しいレポートには、Application Security Checklist Version 5, Release 1 で指定された脆弱性のカテゴリーが一覧表示されます。アプリケーションが STIG の要件に準拠しているかどうかをレビュー担当者が判断できるように、可能な限り AppScan® ソース では適切な結果を生成します。

  • WindowsLinux の両方で、HCL 共通ローカル・ライセンス・サーバー 2.0 のサポート 。
  • AppScan® ソース は、修正グループ別にグループ化される検出結果レポートの生成をサポートしています。

AppScan® ソース バージョン 10.0.5 および AppScan® Enterprise バージョン 10.0.5 の相互運用性に関する追加情報

  • AppScan® Enterpriseasc.properties ファイルの新しいプロパティーを使用して、AppScan® Enterprise への公開または「モニター」タブからの AppScan® Enterprise への問題のインポートの速度を、必要なユーザーの応答性に応じてバランスさせることができるようになりました。issue.import.batch.interval プロパティーの使用の詳細については、AppScan® Enterprise 資料を参照してください。

AppScan® ソース バージョン 10.0.5 の既知の問題

  • コンソール出力が文字化けしないようにするため、AppScan Source のロケール・セットがシステムのロケールと一致している必要があります。
  • Linux での「修正方法」ビューにレンダリングの問題がいくつかあります。また、外部参照リンクは Linux の「修正方法」ビューから開かないでください。記事を外部ブラウザで開くと、正しくレンダリングされ、外部リンクにアクセスできます。
  • 自動化サーバーが AppScan Security Info サーバーの始動に失敗すると、ounceauto コマンドを使用してレポートが生成された場合に、レポートに「修正方法」情報は含まれません。この問題を回避するには、ounceauto を使用してレポートを生成する前に、AppScan® ソース for Analysis またはコマンド行インターフェース (CLI クライアント) を開始します。AppScan Security Info サーバーは、AppScan® ソース for Analysis および CLI クライアントによって自動的に開始されます。

AppScan® ソース バージョン 10.0.4 の強化機能と新規機能

  • バージョン 10.0.4 では、AppScan® ソース は以下のオペレーティング・システムをサポートします。
    • Windows Server 2019
    • Red Hat Linux バージョン 7.8 および 7.9

    詳しくは、システム要件およびインストールの前提条件を参照してください。

  • AppScan® ソース バージョン 10.0.4 では、以下の言語と言語バージョンがサポートされています。
    • Java バージョン 9、10、11:
      • AdoptOpenJDK 11 がデフォルトです
      • 指定する代替 JDK は 64 ビットである必要があります
    • .NET Core 3.1
    • Infrastructure as Code (IaC)

    詳細については、システム要件およびインストールの前提条件を参照してください。

AppScan® ソース バージョン 10.0.4 の既知の問題

  • AppScan® ソース バージョン 9.3.14 以前で作成され、「プロパティー」ビューで除外済みとしてマークされたバンドルが、AppScan® ソース バージョン 10.0.0 以降にアップグレードした後では、検出で除外されません。バンドルは、AppScan® ソース バージョン 10.0.0 以上で再作成する必要があります。
  • AppScan® Source for Analysis クライアント内のすべてのアプリケーションでスキャンを実行すると、修正グループにデータを取り込まなくても「結果」ビューにデータが取り込まれる可能性があります。この結果を回避し、修正グループの検出結果を適切に表示するために、個々のアプリケーションでスキャンを実行します。
  • 評価ファイル名にネイティブ文字が含まれていると、英語以外のロケールで評価の AppScan® Enterprise への公開が失敗します。ファイル名からネイティブ文字を削除し、再公開します。

AppScan® ソース バージョン 10.0.3 の強化機能と新規機能

  • バージョン 10.0.3 の AppScan® ソース では次の言語のサポートが追加されました。
    • Android Java
    • Ionic
    • Objective C
    • React Native
    • SAP ABAP
    • Vue.js
    • Xamarin

    詳細については、「システム要件」を参照してください。

  • 静的分析の修正グループのサポート。

    修正グループは、静的分析スキャンで見つかった問題を管理、トリアージおよび解決するための新しいアプローチです。静的スキャンを実行すると、AppScan® ソース は問題を脆弱性タイプおよび必要な修復タスクに基づいて修正グループに整理します。詳細については、「静的分析修正グループの操作」を参照してください。

  • 修正グループのサポートの一部として、Companion レポートのテクニカル・プレビューが「検出レポートの選択」ダイアログ・ボックスに表示されます。このレポートには、現在、修正グループ・タイプに関する高レベルの情報だけが表示されます。今後のリリースでは、修正グループの最適な修正場所を含め、レポート機能にさらに深さが追加されます。

AppScan® ソース バージョン 10.0.3 の既知の問題

  • CLI コマンド details は断続的にエラーをレポートします。ただし、コマンドの機能は影響を受けません。
    ERROR [main] (PrexisLogger.java:263) - Exception javax.xml.stream.XMLStreamException: Element type "Site" must be followed by either attribute specifications, ">" or "/>".
  • 修正グループ情報を表示するために AppScan® ソース データベースに公開された評価を開くと、修正グループ・タイプまたは修正グループ ID の代わりに NULL が表示されます。ローカル・ファイル・システムに評価を保存してから、「評価を開く」コマンドを使用してその評価を開き、公開された静的分析評価の修正グループ情報を表示します。

AppScan Source バージョン 10.0.3 のインストールおよび相互運用性に関する追加情報

  • AppScan® ソース のアップグレードまたは AppScan® ソース バージョン 10.0.3 の修復インストールを実行するときに、以前のインストールがデータベースを使用して構成されていた場合は、 AppScan Source DB サービスを手動で開始する必要があります。

AppScan® ソース バージョン 10.0.2 の強化機能と新規機能

  • AppScan® ソース バージョン 10.0.2 以後は、HCL ライセンスが必要です。追加情報については、「AppScan Source 製品のライセンスの取得および適用方法」を参照してください。
  • AppScan® ソース 分析の場合、バージョン 10.0.2 ではスキャンを実行するためにデータベース接続は不要です。スキャン構成と結果を共有するための AppScan Enterprise との統合は、AppScan® Enterprise で構成されます。切断された機能の詳細については、こちらで説明されています。
  • AppScan® ソース 次の言語のサポートについて紹介されています。Angular 8、Angular 9、Groovy、Symfony、および TypeScript。詳細については、「システム要件」を参照してください。

AppScan® ソース バージョン 10.0.2 のインストールおよび相互運用性に関する追加情報

  • AppScan® ソース バージョン 10.0.2 をクリーンなシステムにインストールする場合は、インストールするデータベースがないため、データベース構成は行われません。共有情報を保管および取得するには、AppScan Enterprise との統合を構成します。
  • 接続モードで使用するために AppScan® ソース バージョン 10.0.2 をクリーンなシステムにインストールする場合は、AppScan® Enterprise バージョン 10.0.2 が必要です。古いバージョンの AppScan® Enterprise はサポートされていません。さらに、AppScan Enterprise Server は、ユーザー管理Enterprise Console の両方とともにインストールする必要があります。
  • 以前のバージョンから AppScan® ソース バージョン 10.0.2 にアップグレードする場合は、構成機能を含めて、以前にインストールされていたすべてのデータベースが完全にサポートされます。

  • AppScan® ソース バージョン 10.0.2 の修復インストールを実行するときは、以前のインストールがデータベースを使用して構成されていた場合は、AppScan Source DB サービスを手動で開始する必要があります。
  • Automation Server またはクライアント・コンポーネントのみがインストールされている AppScan® ソース をアップグレードし、後から修復インストールを実行する場合は、'ounce.ozsettings で以下のプロパティーを更新します。
    • name=core_provider value=1
    • name=connect_mode value=false
  • バージョン 10.0.2 より前に作成されたサイレント・インストーラーの応答ファイルはサポートされていません。AppScan® ソース バージョン 10.0.2 で使用するには、新しいサイレント・インストーラーの応答ファイルを作成する必要があります。

AppScan® ソース バージョン 10.0.2 で終了予定または削除予定の機能

  • AppScan Source は IBM ライセンスをサポートしなくなり、ライセンス・マネージャーで構成できなくなりました。追加情報については、「AppScan Source 製品のライセンスの取得および適用方法」を参照してください。
  • AppScan® ソース バージョン 10.0.2 では、Visual Studio 2010 のサポートがなくなります。
  • SolidDB は AppScan® ソース に付属しなくなり、ソリューションの一部としてインストールされません。SolidDB の既存のインストールは引き続きサポートされます。
  • 「管理」メニューの下の「監査ログ」オプションは使用できなくなります。

AppScan® ソース バージョン 10.0.1 の強化機能と新規機能

  • AppScan® ソース バージョン 10.0.1 では、ユーザー・インターフェースにおける HCL ベース・ライセンスのプロキシー・サポートや信頼できない証明書を使用してローカル・ライセンス・サーバーに接続する機能など、ライセンス機能を強化しました。
  • AppScan® ソース バージョン 10.0.1 では、AppScanDelta を導入しました。この機能では、コマンド・ラインから 2 つの評価の差分を取得できます。
  • AppScan® ソース は、NetCore 2.1 および 2.2 をサポートしています。
  • AppScan® ソース バージョン 10.0.1 には、Scala、Swift、Kotlin、および ReactJS の言語サポートが含まれています。詳細については、「システム要件」を参照してください。
  • AppScan® ソース バージョン 10.0.1 では、DISA STG v4r10 レポート形式をサポートします。

AppScan® ソース バージョン 10.0.1 の既知の問題

  • 2015 以前から Visual Studio プロジェクトをスキャンすると、スキャンが失敗し、discoverymanager.exe.config を削除するようメッセージが表示されることがあります。指定されたファイルを削除してやり直してください。詳細については、ここを参照してください。

AppScan® ソース 相互運用性 (interoperability)

  • AppScan® ソース 10.0.1 と相互運用するには、AppScan® Enterprise の 9.0.3x および 10.0.0 バージョンを次のように構成する必要があります。
    set "allow.newer.source.clients=true" in 
    \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file

AppScan® ソース バージョン 10.0.1 で終了予定または削除予定の機能

次の機能は AppScan® ソース バージョン 10.0.1 で終了を予定しています。それに従って計画してください。

  • 重要! 新しい AppScan® リリースの IBM ライセンスのサポートは、2020 年第 3 四半期 (8 月/9 月) に終了します。AppScan® 製品の新しい後続バージョンでは、HCL ライセンスのみをサポートします。ライセンスの詳細については、「ソフトウェアのアクティブ化」を参照してください。または、HCL 担当者または HCL サポートにお問い合わせください。
  • SolidDB は、2020 年第 3 四半期 (8 月/9 月) 以降の製品更新に付属しなくなります。既存のインストールは引き続きサポートされます。

AppScan® ソース バージョン 10.0.0 の強化機能と新規機能

  • IBM® セキュリティー AppScan® ソースHCL®AppScan® ソース となりました。

    2019 年中頃、HCL Technologies は AppScan® EnterpriseAppScan® スタンダード、AppScan® ソースAppScan® on Cloud を含む AppScan® 製品ファミリーを IBM より買収しました。すべての AppScan® 製品は HCL Software によって所有され、開発、販売されることになりました。すべてのライセンス、ロゴ、命名規則、その他の知的財産権およびブランド権利は HCL が所有します。当該の AppScan® 製品はすべて、この所有権ならびに新しい段階の開発と成長を反映するため、再ブランド化されています。

  • HCL ライセンスの導入 HCL®AppScan® ソース

    IBM から HCL への移行の一環として、HCL は HCL を中心とした AppScan® 製品ファミリーのライセンス・パッケージを導入します。AppScan®AppScan® スタンダード、AppScan® ソース は、ローカル FlexLM ライセンス・サーバーを使用し、プロキシー・サーバーを介して認証します。AppScan® on Cloud では、市場で主流となっている Okta の CAIM (Customer Identity Access Management) システムを使用します。

  • AppScan® ソース Go プログラミング言語 (Golang) がサポートされるようになりました。
  • AppScan® ソース Visual Studio 2015、2017、2019 で C++ スキャンがサポートされるようになりました。
  • AppScan® ソース Oracle 19c がサポートされるようになりました。
  • 新規データ・フロー・スキャン機能はより完璧なコード分析を実行し、結果としてより詳細な検出結果が得られます。
  • AppScan® ソース にカスタム・スキャナーがある言語の場合、AppScan® ソース v10 でスキャンすると、検出結果に大きな違いが見られる場合があります。スキャンがカスタム・スキャンに変換された場合、これは検出結果が減少することを意味する場合があります。カスタム・スキャナーのルールは進化し、定期的に追加されており、簡単に拡張できます。
  • Intelligent Code Analytics (ICA) および Intelligent Findings Analytics (IFA) との拡張統合。

    ICA/IFA を有効にすると、「除外された検出結果」タブにアクセスできるようになります。詳細は、AppScan® ソース 資料の「Intelligent Findings Analytics (IFA)」を参照してください。

    デフォルトでは、IFA がすべてのスキャンで有効になっています。有効にすると、現在のスキャンと将来のスキャンに適用されます。以前のスキャンからの評価には適用できません。

  • AppScan® ソース での .NET プロジェクト (ASP、WEB, Framework、Core) のスキャンは HCL AppScan on Cloud のプロセスをミラーリングします。.NET プロジェクトは、スキャン前にコンパイルでき、プロジェクトのプロパティーに適切なビルド仕様がある必要があります。
  • AppScan® ソース をインストールし基本的なスキャンを実行するには、最低 15 GB の空き容量が必要です。ただし、必要なディスク空き容量は、スキャン対象のアプリケーションによって異なります。最低 8 GB の RAM および 15~20 GB のディスク空き容量があることを推奨します。また、Windows のページ・ファイル要件を増加する必要があります (詳細は、「Windows 10 で PC のパフォーマンスを向上させるヒント」を参照してください。
  • システム要件、スキャンとプラグインのサポートに関する詳細については、「システム要件およびインストールの前提条件」を参照するか、HCL サポートまでお問い合わせください。

AppScan® ソース バージョン 10.0.0 の相互運用性

HCL®AppScan® ソース 10.0.0 には、AppScan® ソース 10.0.0 データベース (SolidDB または Oracle) が必要です。
  • AppScan® ソース 10.0.0 クライアントは、スキャン・ルールに関連するデータベースの内容が異なるため、10.0.0 以前の AppScan® ソース データベースでは正しくスキャンしません。
  • 同様に、10.0.0 より前の AppScan® ソース クライアントは、10.0.0 AppScan® ソース データベースでは正しくスキャンしません。
AppScan® ソース 10.0.0 は、AppScan® Enterprise の 9.0.3.x より前のバージョンと相互運用します。
  • AppScan® ソース 10.0.0 データベースのインスタンスで構成された AppScan® Enterprise のインスタンスは、AppScan® ソース の 9.0.3.x バージョンでは使用できません。逆も同様です。
  • AppScan® ソース 10.0.0 と相互運用するには、AppScan® Enterprise の 9.0.3.x バージョンを次のように構成する必要があります。
    set "allow.newer.source.clients=true" in 
    \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file

追加の AppScan® ソース バージョン 10.0.0 インストール手順

AppScan® ソース バージョン 10.0.0 と Visual Studio 2019 プラグインをインストールすると、インストールが成功したように見えますが、Visual Studio 2019 プラグインが適切にインストールされていない可能性があります。

Visual Studio 2019 に AppScan® ソース バージョン 10.0.0 のプラグインをインストールするには:

  1. ターゲット・システムに HCL®AppScan® ソース バージョン 10.0.0 がインストールされていることを確認します。インストール時に Microsoft Visual Studio 2019 プラグインを選択します。
  2. Visual Studio 2019 のターゲット・インスタンスに AppScan® ソース の 10.0.0 より前のバージョンがインストールされている場合は、次の手順でアンインストールします。
    1. ターゲット Visual Studio 2019 インスタンスを開始します。
    2. 「Visual Studio」 > 「拡張機能」 > 「拡張機能の管理」を開きます。
    3. 「インストール済み」タブで、リストから「AppScan Source Plug-in」を選択します。
    4. 「プラグインのアンインストール」をクリックし、プロンプトに従ってアンインストールを完了します。
  3. HCL®AppScan® ソース バージョン 10.0.0 のプラグインを Visual Studio 2019 インスタンスに次の手順でインストールします。
    1. すべての Visual Studio 2019 インスタンスを閉じます。
    2. VS2019Plugin.zipHCL®AppScan® ソース リリース・ダウンロード・サイトからダウンロードします。
    3. zip ファイルの中身を <AppScan Source Install Dir> に抽出します (デフォルトの場所は C:\Program Files (x86)\IBM\AppScanSource です)。プロンプトに表示されるすべてのオプションで「はい」を選択します。
    4. <AppScan Source Install Dir>/bin ディレクトリーから AppScanSrcPlugin.vsix をダブルクリックします。
    5. 表示される VSIX インストーラーのダイアログで、「Visual Studio <Edition> 2019」を選択し、「インストール」をクリックします。

      マシンのインストール内容に応じて、エディションには Professional、Enterprise、または Community があります。利用可能な場合は、インストールするエディションを複数選択できます。

    6. インストールが完了したら、ダイアログを閉じます。
    7. Visual Studio 2019 を再起動します。「AppScan Source Plug-in」は、「拡張機能」の下に表示されます。

AppScan® ソース バージョン 10.0.0 の既知の問題

このセクションでは、AppScan® ソース バージョン 10.0.0 の情報、既知の制限、および回避策について説明します。
  • 次の言語はサポートされていません。
    • Arxan C
    • WSDL
  • WebSphere では、デフォルトの JSP コンパイル・オプションのみがサポートされます。
  • 単一ファイル・スキャンは、すべての言語で利用できるわけではありません。
  • JSP ファイルのプリコンパイルを無効にするメカニズムはありません。JSP ファイルは常にプリコンパイルされます。
  • Linux システムでは、スキャンの停止/キャンセルは機能しません。
  • Windows システムでコマンド・ライン・インターフェースを使用するときは、停止/キャンセルが機能しないことがあります。この問題を回避するには、AppScan® ソース を再起動し、バックグラウンド・プロセスを強制終了します。
  • Windows システムから AppScan® ソース バージョン 10.0.0 をアンインストールするときに、アンインストール・プロセスがハングすることがあります。詳しくは、「Windows で AppScan ソース のアンインストールがハングする」を参照してください。
  • AppScan® ソース バージョン 10.0.0 にアップグレードすると、PDF レポートが生成されません。詳細については、「アップグレード・シナリオで PDF レポートの生成時に、AppScan Source 10.0.0 が「java.lang.reflect.InvocationTargetException」をスローする」を参照してください。

AppScan® ソース バージョン 10.0.0 で終了予定の機能

次の機能は AppScan® ソース バージョン 10.0.0 で終了を予定しています。それに従って計画してください。

AppScan® ソース バージョン 10.0.0 でサポートされなくなった機能およびフィーチャー

  • 脆弱性キャッシュは、サポート対象外となりました。
  • インクリメント・スキャンはサポート外です。
  • 非 CPA スキャンはサポート外です。
  • バージョン 9.0.3.11 以降の AppScan® ソース では、macOS と iOS の Xcode プロジェクト・スキャンを使用できません。

    AppScan® ソース の一部のコンポーネントは 32 ビットです。MacOS 10.14 (Mojave) は、32 ビットのアプリケーションをサポートする最新の Mac OS バージョンです。

    10.12 までの Mac オペレーティング・システムでは、AppScan® ソース バージョン 9.0.3.10 以前を引き続き使用できます。

ドキュメンテーション

AppScan® ソース 資料に関する情報は「AppScan Source 資料の入手先」にあります。

技術サポートの要請

この製品に関する技術サポートを受ける方法については、https://support.hcltech.com/csm?id=csm_index を参照してください。

この製品の Web サイトは https://www.hcltechsw.com/wps/portal/products/appscan です。